Geliştirici, "Kontroller" çekini kontrol ettikten sonra verileri buldu - Mart ayından itibaren, İnternet Hizmetlerinde yapılan tüm alımlarını izleyebilir.
Federal Vergi Hizmeti (FTS) hizmetlerinin kaynak kodu kamu erişimindeydi ve kullanıcıların alımlardaki verileri - olası bir sızıntı tehdidi altında. Bu sonuçlar "HABRA" ANTON PISKUNOV kullanıcısı geldi.
Geliştirici, "Kontroller" uygulamasına dikkat çekti. Nakit çeklerini elektronik biçimde almanıza ve saklamanızı, satıcının vicdanını kontrol etmenize, fts'lara bildirilen şikayetleri göndermenizi sağlar.
Uygulamayı kullanarak, kullanıcı, siparişi herhangi bir hizmet veya mağazada siparişi tamamladıktan sonra mali veri bildirimini (OFD) gönderen elektronik çek üzerine QR kodunu tarayabilir. Örneğin, Yandex.IED'de sipariş verdikten sonra, Piskunov, Yandex OIS'den çek geldi.
Taramadan sonra, siparişte tam veri içeren çekin elektronik bir kopyası, Ek'te görünür. 4 Mart 2021'de, geliştiriciler "Çeklerimin Çevrimiçi" işlevinden "çeklerin ekranını ekleyerek" kontrolleri kontrol eder "."
"Kontrol Et" uygulamasında, "Yandex.edi", "Taksi", "Scooter" ve diğerleri gibi hizmetlere eklenmiş bir telefon numarası belirten bir telefon numarası belirlerseniz, "Çeklerim" bölümünde otomatik olarak tüm çekleri görüntüleyecektir. Bu hizmetlerdeki tüm işlemler için.
Piskunov, tüm bu verilerin nasıl korunacağını kontrol etmeye karar verdi. Bunu yapmak için, internet ve basit bir proxy uygulaması arasındaki boşluğu koydu ve uygulamanın ağ etkinliğini kaydetti, "düğmelere sokulur."
"Veri ile bitiş noktasının, Express Çerçevesini kullanarak NODEJ'lerdeki en basit uygulamayı yaşayan İckt-mobile.nalog.ru:8888 adresinde bulunduğu ortaya çıktı. Kullanıcı doğrulama mekanizması, "SessionID" başlığını doğru bir şekilde göstermenize izin verir, bunun değerini Sunucu tarafında oluşturulan bazı kendi kendine eksik belirteç olan, "Sunucu tarafında oluşturulan bir miktardır."
"Çıkış" düğmesine "Çıkış" düğmesine basarsanız, Token sakatlığı gerçekleşmez, devam eder. Ayrıca, kullanıcı tüm oturumlarını göremez veya tüm cihazlarda bunları tamamlayamaz. "Böylece, bir şekilde erişim belirteci'nin tehlikeye girdiğini anlasanız bile, o zaman onu sıfırlama imkanı yoktur ve bu andan itibaren bu andan itibaren verilerinize yönelik bir saldırgan erişiminin olmaması", "
Ayrıca, başvurunun KRASH durumunda, ilişkili olmayan adreste, ne de fts, ne de fsue gniivc fts (geliştirici "Çekler Kontrolü" - VC'nin .Ru) ve nöbetçi alanında .studiotg.ru.
Bundan sonra, bir yıldan fazla, geliştiriciye göre, Google Index'te bulunan Gitlab'daki Studiotg kamu havuzlarına referanslar buldu. Depolarda, "lkio", "lkip", "lkul" ayarlarını içeren klasörler buldu. Onlar Nalog.ru - lkio.nalog.ru, lkip.nalog.ru ve lkul.nalog.ru.
Piskunov, "Tespit edilen kaynakların FTS servisleriyle ilgili olan FTS hizmetleri ile ilgili olduğu uzlaşma için, yanlışlıkla tesadüf yapamayan Savaş Web Sunucusu'ndaki Uppod-Styles.txt dosyasının varlığını basit bir şekilde kontrol edin" yazıyor.
"Kontrol" konusunun gerçek geliştiricisinin - Studiootg olduğunu belirtti. Danışmanlık ve yazılım geliştirme yapan "stüdyo TG" web sitesi, projeler arasında, FTS'den "vergi mükellefinin kişisel hesabı".
Piskunov ayrıca, şirketin arızasının, vergi servisi kodunun kaynak kodunun kamu erişiminde olduğuna inanıyor. VC.RU'nun editoryal ofisi bir istek gönderdi ve FTS ve Studio TG'den yorum bekliyor.
# Haberler # FTS
Bir kaynak